В своей деятельности предприятия любой формы собственности руководствуются нормами федеральных законов Российской Федерации и правовых актов отраслевого и регионального уровней.

С учетом специфики деятельности на основе базовых законов разрабатываются внутренние положения, с которыми должны быть ознакомлены сотрудники.

По сути, локальные правовые акты конкретизируют обязанности, требования, правила доступа к сведениям, распространение или уничтожение которых может отрицательно сказаться на деловой репутации предприятия.

Разберемся с пакетом документации по информационной безопасности, направленной на обеспечение сохранности данных.

Требования закона к комплектности и содержанию локальных актов по информационной безопасности

Гарантировать целостность данных и предотвратить их потерю позволяет комплексный подход к решению проблем сохранности конфиденциальных сведений, когда наряду с применением технологических средств проводятся организационные мероприятия.

Руководители, перед тем как определиться с политикой информационной безопасности, должны установить потенциальные угрозы, которые возникают в процессе разработки, использования, передачи ценных сведений.

Точного списка внутренних документов для организации работ по защите информации в законодательных актах нет. Поэтому перечни отличаются в зависимости от вида деятельности компании.

Выделим документы, устанавливающие порядок проведения мероприятий с целью защиты данных, наличие которых поможет избежать неприятностей при проверках обеспечения безопасности различными контролирующими органами. Их можно подготовить по шаблонам, конкретизируя нюансы, связанные с деятельностью компании.

1. Положения:

• о защите персональных, секретных, конфиденциальных сведений;
• о правилах пользования внутренней информационной сетью, использования интернет-ресурсов.

2. Распоряжения:

• о назначении ответственных лиц по обеспечению безопасности обработки персональных данных;
• о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним;
• о создании комиссии, которая занимается классификацией системы и присваивает ей соответствующий класс защиты. 

3. Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений.

4. Модель угроз безопасности, составленную на основе анализа.

5. Утвержденный список лиц с доступом к информации, имеющей стратегическое значение.

6. Правила:

• проведения процедуры идентификации пользователей;
• установки (инсталляции) программного обеспечения;
• резервирования баз данных, их восстановления при возникновении нештатных ситуаций.

7. Формы журналов учета:

• приема/выдачи съемных носителей данных;
• технических средств для обработки и передачи информации;
• проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами;
• тестирования средств, обеспечивающих конфиденциальность, защиту информации;
• плановых мероприятий, проводимых с целью предотвращения хищений, несанкционированного доступа к секретной информации, выявления потенциальных угроз.

Опционально в организации должны быть локальные документы по обработке, использованию и хранению персональных данных (на основе ФЗ № 152), по использованию криптографических средств для защиты системы.

Чтобы документы внутреннего пользования действительно помогали обеспечивать надежную работу системы, важно, чтобы их разрабатывали при участии ИБ-специалистов.

16.06.2020